Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2854-1 mumble

Bulletin d'alerte Debian

DSA-2854-1 mumble -- Plusieurs vulnérabilités

Date du rapport :

5 février 2014

Paquets concernés :

mumble

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 737739.
Dans le dictionnaire CVE du Mitre : CVE-2014-0044, CVE-2014-0045.

Plus de précisions :

Plusieurs problèmes ont été découverts dans mumble, un client VoIP à faible latence. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2014-0044

  un paquet voix malformé d'Opus envoyé à un client Mumble pourrait provoquer un déréférencement de pointeur NULL ou un débordement de tableau. Un attaquant distant malveillant pourrait exploiter ce défaut pour monter une attaque par déni de service envers un client mumble en provocant le plantage de l'application.

• CVE-2014-0045

  un paquet voix malformé d'Opus envoyé à un client Mumble pourrait provoquer un dépassement de tas. Un attaquant distant malveillant pourrait se servir de ce défaut pour provoquer un plantage du client (déni de service) ou éventuellement l'utiliser pour exécuter du code arbitraire.

La distribution oldstable (Squeeze) n'est pas concernée par ces problèmes.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.2.3-349-g315b5f5-2.2+deb7u1.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets mumble.